Le imprese rischiano di pagare un risarcimento ogni volta che subiscono un attacco informatico
I data breach sono ormai una minaccia importante. Una nuova interpretazione del GDPR potrebbe peggiorare la situazione delle imprese che non si sono dotate di un buon sistema di protezione dagli attacchi informatici.
Le aziende e le piattaforme subiscono spesso attacchi informatici, volti al furto di informazioni e dati sensibili e personali. Questo è uno dei motivi per cui è nato il GDPR (General Data Protection Regulation), il regolamento dell’Unione Europea il cui obiettivo principale è la protezione della privacy e dei dati personali. Il suo scopo consiste non solo nel regolamentare l’uso dei dati personali in modo rigoroso, ma anche proteggere gli utenti qualora questi dati sensibili vengano sottratti e utilizzati per altri scopi, ad esempio rubare l’identità degli utenti colpiti dal furto.
Fino ad adesso, nel caso di un data breach e furto di dati personali, gli enti o le imprese colpite erano portate a pagare i danni nel caso in cui i dati venissero effettivamente utilizzati. L’avvocato generale della Corte di Giustizia UE Anthony Michael Collins, però, nelle sue conclusioni del 26 ottobre 2023 relative alle due cause C182/22 e C189/22, ha chiesto alla corte un’interpretazione del GDPR favorevole agli utenti i cui dati sono stati sottratti, ma non adoperati.
Le cause riguardano due investitori, che, per aprire dei depositi titoli presso un’applicazione di trading online, hanno dovuto verificare la loro identità, registrando i propri dati personali. Tra questi, ovviamente, c’erano nome, data di nascita, indirizzo fisico, posta elettronica e carta di identità. Quando la piattaforma ha subito un attacco informatico, questi dati sono stati rubati.
Di conseguenza, gli investitori hanno fatto causa alla società, chiedendo il risarcimento del danno immateriale, anche se non risulta che questi dati siano stati utilizzati. Per questo motivo, il tribunale ha chiesto l’interpretazione delle norme del GDPR. Infatti, alcune di queste citano espressamente il furto di identità e non quello dei semplici dati.
Secondo il giudice del rinvio, il furto di dati personali sensibili, anche se non seguito da un uso immediato o un’usurpazione di identità, potrebbe portare ad un effettivo danno immateriale, in quanto non preserva da futuri furti di identità. Si dovrà, però, decidere caso per caso e tenere conto delle circostanze specifiche di ogni situazione.
Se questa interpretazione verrà portata avanti, gli interessati di furto dei dati potranno chiedere i danni immateriali quando un’impresa subisce un cyberattacco e i dati vengono prelevati. Dunque, per richiedere un risarcimento, non sarà necessario il furto di identità, quando i dati vengono concretamente utilizzati.
Questa decisione potrebbe spingere le imprese a investire sempre di più nella sicurezza informatica, per proteggere sé stesse e i propri utenti, in modo da essere protetti dagli attacchi e non rischiare.